Skip to Content
RGPDPartie 10 — Violations de donnéesVue d'ensemble

Partie 10 — Violations de données

⏱️ TL;DR — Malgré toutes les mesures de la Partie 9, un incident finit toujours par arriver : un e-mail parti au mauvais destinataire, une base exposée, un ransomware, un ordinateur volé. Le RGPD ne te reproche pas l’incident — il te reproche de mal réagir. Cette partie te donne le réflexe complet : reconnaître qu’un incident est une violation de données (art. 4.12), qualifier le risque pour les personnes, notifier la CNIL dans les 72 h quand il le faut (art. 33), informer les personnes en cas de risque élevé (art. 34), tenir le registre des violations (art. 33.5), et surtout te préparer avant — parce qu’on ne s’improvise pas gestionnaire de crise à 3 h du matin. À la fin, tu auras un playbook incident prêt à dégainer.

Le problème qu’on résout

La plupart des équipes découvrent la procédure de violation le jour où elles en subissent une — et c’est le pire moment pour l’apprendre. Le compte à rebours des 72 h démarre sans prévenir, personne ne sait qui décide, on hésite à notifier « pour ne pas s’auto-accuser », on prévient les personnes trop tard ou pas du tout, et on ne documente rien. Résultat : un incident gérable se transforme en manquement sanctionnable, parce que le RGPD sanctionne autant l’absence de réaction que la faille elle-même.

On répare ça en amont. Une violation bien gérée, c’est une procédure écrite d’avance, des rôles clairs, un arbre de décision pour savoir quoi notifier, une trame de fiche à remplir, et un réflexe de documentation systématique. Quand tout est prêt, une fuite devient un incident qu’on traite, pas une crise qu’on subit.

Ce que tu sauras faire à la fin de cette partie

  • Reconnaître une violation de données (art. 4.12) et la classer en atteinte à la confidentialité, l’intégrité ou la disponibilité.
  • Qualifier le risque pour les personnes (faible / réel / élevé) et en déduire tes obligations.
  • Décider s’il faut notifier la CNIL et le faire correctement dans les 72 h (art. 33), y compris en plusieurs temps.
  • Savoir quand et comment informer les personnes (art. 34) et quelles exceptions s’appliquent.
  • Tenir le registre interne des violations (art. 33.5), même pour celles qu’on ne notifie pas.
  • Dérouler un playbook incident de bout en bout, sur un cas concret FormaCampus.

Les chapitres

#ChapitreEn un mot
10.1Qu’est-ce qu’une violationArt. 4.12, et les 3 types d’atteinte.
10.2Qualifier le risqueLe risque pour les personnes, pas pour toi.
10.3Notifier la CNIL (72 h)Le compte à rebours de l’article 33.
10.4Informer les personnes & registreRisque élevé (art. 34) et registre (art. 33.5).
10.5Playbook incident (atelier)La procédure pas-à-pas, préparée d’avance.

On commence : Qu’est-ce qu’une violation.

Last updated on